NAC Inverso un esquema optimizado de acceso a

NAC Inverso, un esquema optimizado de acceso a Internet José Carlos González Universidad de La Laguna S/C de Tenerife Jornadas Técnicas de Red. IRIS 2009 Santiago de Compostela, 23 -27 de noviembre de 2009

Agenda • La ULL • Problemática • Solución planteada • Ventajas • Implantación • La seguridad integrada

La ULL • Nace en 1792. • Oficial en 1816. • 24. 000 Alumnos. • 1. 800 Profesores. • 800 Empleados. • 57 Titulaciones. • 12 Programas Postgrado. • 19 Máster. • 17 Expertos. • 62 Doctorados

La ULL • 4 Campus. • 26 Edificios. • 14. 000 Tomas de Red. • 8. 000 Usuarios LAN. • 2. 500 Extensiones Vo. IP. • 2 CPD. • 350 Switches Acceso • 60 Routers / Distribución • 16 Routers / Core • 380 Puntos de Acceso Wifi

La ULL WIFI VPN Intern et Usuar ios Ro jos Usuar ios Az Servid ores CSS ules + To. IP

Problemática • Acceso libre a Internet no permitido pero si deseado • “Estos de informática no nos dejan trabajar” • Vulnerabilidades de Virus, Troyanos y Botnets • “ 6000 ordenadores a disposición de los hackers con una conexión a Internet y una capacidad de proceso atractivos” • Gestión de reglas y objetos en el firewall perimetral • “El CAU acaba usando la herramienta de gestión del firewall” • Avisos del CERT • “¿Cómo encuentro al usuario? ” Ip pública que pertenece a un pool de NAT sobre redes privadas con direccionamiento dinámico por DHCP con leasing de 4 horas con tomas de red con uso compartido profesor / alumnos con miniswitches.

Servicios TIC • Seguridad • Estabilidad • Homogeneidad • Control • FW Restrictivo ¿ o c In ? s Usuarios TIC • Libertad • Movilidad • Interoperabilidad • Accesibilidad • FW Permisivo p m t a e l ib

Flujos de Información WIFI VPN Usuar Intern et ios Ro jos Usuar ios Az Servid ores CSS ules + To. IP

Acceso de Usuarios desde Internet Acceso de Usuarios hacia Internet Movilidad de Usuarios WIFI Detección de Ataques Acceso a Servicios Personales Acceso a Servicios Institucionales PERMIT ANY Administración

PERMIT ANY LOG El firewall se convierte en un logger bastante “caro” Dejamos todo el trabajo para el análisis “Post-mortem”

Acceso de Usuarios desde Internet VPN - SSL Acceso de Usuarios hacia Internet Movilidad de Usuarios - WIFI NAC Detección de Ataques IDP Acceso a Servicios Personales Acceso a Servicios Institucionales Administración NSM

VPN - SSL NAC IDP NSM Acceso de Usuarios hacia Internet Acceso a Servicios Personales Acceso a Servicios Institucionales NAC INVERSO

Solución Planteada • Trasladar puertos de servicio poco usados al NAC. “El firewall se modifica pocas veces y sus reglas son más claras” • Menú de selección de servicio por sessión. “El usuario tiene acceso a todo pero no está disponible hasta que no lo solicita” • Unificación de acceso cableado y Wi. Fi. “Un mismo perfil de acceso unifica el origen permitiendo la total movilidad”. El acceso a los recursos internos y a los externos se unifica. Roaming Wifi <-> Cableado • Unificación de flujos. El perfil de acceso se aplica en todos los flujos sin necesidad de duplicar reglas.

ICQ Server WIFI VPN Intern et Juan, y quiero hacer ICQ Usuar Permit juan ICQ ios Ro jos Usuar ios Az ules + To. IP CSS ¿Quién eres? ¿Qué quieres? Servid ores CSS

WIFI VPN Usuar Intern et ios Ro jos Usuar ios Az CSS Servid ores CSS ules + To. IP

Ventajas de la solución Las reglas sólo se cargan en el firewall cuando son necesarias y sólo para el usuario que las demanda 2000 usuarios con ip fija accediendo a 9 perfiles generan: 18. 000 reglas 2000 usuarios generan 700 usuarios simultáneos accediendo a un perfil seleccionado: 700 reglas

Ventajas de la solución Movilidad Fijo-Wifi (con Roaming) de los usuarios, el perfil está asociado al usuario y no al puesto ni a la vlan.

Identificación de avisos CERT ¿Quién tenía el acceso ssh activado ayer a las 14: 50? Juan desde 10. 1. 2. 3 Pedro desde 10. 4. 5. 6 Y Federico desde 10. 6. 3. 2

Identificación de avisos CERT

Gestión Delegada en LDAP El menú de servicios se pinta en función de los atributos del usuario en el LDAP Policy Server AAA Server Fácil delegación de la administración de perfiles a un CAU para una atención directa a los usuarios

Orientado a Tipos de Usuarios Ou=“Investigador” Ou=“Alumno” Ou=“Dirección” Ou=“Gestión Universitaria” Ou=“BBTK” Ou=“Doctorandos”

Orientado a Servicios Ou=“VPN” Ou=“Mensajería Instantánea” Ou=“P 2 P” Ou=“Servicios Multimedia” Ou=“Conexión a Sistemas Remotos” Ou=“Transferencia de Ficheros”

Fácil escalado de servicios A. Acceso a Sistemas Remotos Telnet(23), ssh(22), Citrix(1494), Rdp(3389) A. B. C. D. Sistemas Telnet(23) SSH Ssh(22) Citrix(1494) Rdp(3389)

Fácil introducción en la red Para cada flujo de tráfico y puerto de comunicaciones podemos especificar si el tráfico debe estar autenticado. La implantación puede ser muy granular y progresiva.

¿Merece la pena gestionar la restricción? El usuario piensa, “si me autentico, saben quien soy y que quiero hacer” “seleccionaré justo lo que vaya a necesitar”

Opción 1: Dejo mi carretera libre con carteles de límite de velocidad sin Opción 2: De vez en cuando pongo control y cuando hay un incidente algunos coches de policía para busco bomberos, policía, ambulancias, intimidar a los infractores, sólo tengo Opciónobras 3: Colocar un radar fijo y públicas, etc. efectividad mientras se mira. además dejar un par de correos por “ahí” indicando que hay un radar y que está puesto a 80 Km/h aunque no controle la velocidad. “El acceso LIBRE AUTENTICADO es suficientemente restrictivo y seguro”

Acceso por Servicio sin restricción

VPN, ¿Cómo? Doble autenticación o Federación. IF-MAP Servid VPN ores Internet NAC Cableado Wifi

La integración total de la seguridad IF-MAP Server DNS/DHCP/IPAM NAC IF-MAP VPN FW IF-MAP Clientes DNS/DHCP IPAM Routers IDP

Gracias por su atención José Carlos González jgonzal@ull. es